La începutul anului, într-un raport privind problemele internetului și accesibilitatea pentru 2018-2019 că răspândirea TLS 1.3 este inevitabilă. În urmă cu ceva timp, noi înșine am implementat versiunea 1.3 a protocolului Transport Layer Security și, după colectarea și analizarea datelor, suntem în sfârșit gata să vorbim despre caracteristicile acestei tranziții.
Președinții grupului de lucru IETF TLS :
„Pe scurt, TLS 1.3 ar trebui să ofere baza pentru un internet mai sigur și mai eficient în următorii 20 de ani.”
desen a durat 10 ani lungi. Noi, cei de la Qrator Labs, împreună cu restul industriei, am urmărit îndeaproape procesul de creare a protocolului de la versiunea inițială. În acest timp, a fost necesar să se scrie 28 de versiuni consecutive ale proiectului pentru a vedea în cele din urmă lumina unui protocol echilibrat și ușor de implementat în 2019. Suportul activ de piață pentru TLS 1.3 este deja evident: implementarea unui protocol de securitate dovedit și de încredere răspunde nevoilor vremurilor.
Potrivit lui Eric Rescorla (CTO Firefox și unicul autor al TLS 1.3) :
„Acesta este un înlocuitor complet pentru TLS 1.2, folosind aceleași chei și certificate, astfel încât clientul și serverul pot comunica automat prin TLS 1.3 dacă ambele îl acceptă”, a spus el. „Există deja un suport bun la nivel de bibliotecă, iar Chrome și Firefox activează implicit TLS 1.3.”
În paralel, TLS se încheie în grupul de lucru IETF , declarând versiunile mai vechi ale TLS (excluzând doar TLS 1.2) ca fiind învechite și inutilizabile. Cel mai probabil, RFC-ul final va fi lansat înainte de sfârșitul verii. Acesta este un alt semnal pentru industria IT: actualizarea protocoalelor de criptare nu trebuie amânată.
O listă a implementărilor actuale TLS 1.3 este disponibilă pe Github pentru oricine caută cea mai potrivită bibliotecă: . Este clar că adoptarea și sprijinul pentru protocolul actualizat vor fi – și sunt deja – în progres rapid. Înțelegerea modului în care criptarea a devenit fundamentală în lumea modernă s-a răspândit destul de larg.
Ce s-a schimbat de la TLS 1.2?
De :
„Cum TLS 1.3 face lumea un loc mai bun?
TLS 1.3 include anumite avantaje tehnice - cum ar fi un proces simplificat de strângere de mână pentru a stabili o conexiune sigură - și, de asemenea, permite clienților să reia mai rapid sesiunile cu serverele. Aceste măsuri sunt menite să reducă latența de configurare a conexiunii și eșecurile conexiunii pe legăturile slabe, care sunt adesea folosite ca justificare pentru furnizarea numai de conexiuni HTTP necriptate.
La fel de important, elimină suportul pentru mai mulți algoritmi de criptare și hashing vechi și nesiguri care sunt încă permisi (deși nu sunt recomandati) pentru utilizare cu versiuni anterioare de TLS, inclusiv SHA-1, MD5, DES, 3DES și AES-CBC. adăugarea de suport pentru noi suite de criptare. Alte îmbunătățiri includ mai multe elemente criptate ale strângerii de mână (de exemplu, schimbul de informații despre certificat este acum criptat) pentru a reduce cantitatea de indicii pentru un potențial interceptator de trafic, precum și îmbunătățiri pentru transmiterea secretului atunci când se utilizează anumite moduri de schimb de chei, astfel încât comunicarea trebuie să rămână în siguranță în orice moment, chiar dacă algoritmii folosiți pentru a-l cripta sunt compromisi în viitor.”
Dezvoltarea de protocoale moderne și DDoS
După cum poate ați citit deja, în timpul dezvoltării protocolului , în grupul de lucru IETF TLS . Acum este clar că întreprinderile individuale (inclusiv instituțiile financiare) vor trebui să schimbe modul în care își asigură propria rețea pentru a se adapta acum la protocolul încorporat. .
Motivele pentru care acest lucru poate fi necesar sunt prezentate în document, . Lucrarea de 20 de pagini menționează câteva exemple în care o întreprindere ar putea dori să decripteze traficul în afara bandă (pe care PFS nu îl permite) în scopuri de monitorizare, conformitate sau nivel de aplicație (L7) de protecție DDoS.
Deși cu siguranță nu suntem pregătiți să speculăm cu privire la cerințele de reglementare, produsul nostru proprietar de reducere a DDoS (inclusiv o soluție informații sensibile și/sau confidențiale) a fost creat în 2012 ținând cont de PFS, astfel încât clienții și partenerii noștri nu au trebuit să facă nicio modificare în infrastructura lor după actualizarea versiunii TLS pe partea de server.
De asemenea, de la implementare, nu au fost identificate probleme legate de criptarea transportului. Este oficial: TLS 1.3 este gata de producție.
Cu toate acestea, există încă o problemă asociată cu dezvoltarea protocoalelor de generație următoare. Problema este că progresul protocolului în IETF depinde de obicei în mare măsură de cercetarea academică, iar starea cercetării academice în domeniul atenuării atacurilor distribuite de refuzare a serviciului este proastă.
Deci, un exemplu bun ar fi Proiectul IETF „Gestionabilitate QUIC”, parte a viitoarei suite de protocoale QUIC, afirmă că „metodele moderne de detectare și atenuare [atacurilor DDoS] implică de obicei măsurarea pasivă folosind datele fluxului de rețea”.
Acesta din urmă este, de fapt, foarte rar în mediile reale de întreprindere (și aplicabil doar parțial furnizorilor de servicii de internet) și, în orice caz, este puțin probabil să fie un „caz general” în lumea reală - dar apare constant în publicațiile științifice, de obicei nesuportat. prin testarea întregului spectru de atacuri DDoS potențiale, inclusiv atacuri la nivel de aplicație. Acesta din urmă, datorită cel puțin implementării la nivel mondial a TLS, evident nu poate fi detectat prin măsurarea pasivă a pachetelor și fluxurilor de rețea.
De asemenea, încă nu știm cum se vor adapta furnizorii de hardware de reducere a DDoS la realitățile TLS 1.3. Datorită complexității tehnice a acceptării protocolului out-of-band, upgrade-ul poate dura ceva timp.
Stabilirea obiectivelor potrivite pentru a ghida cercetarea este o provocare majoră pentru furnizorii de servicii de atenuare a DDoS. Un domeniu în care poate începe dezvoltarea este la IRTF, unde cercetătorii pot colabora cu industria pentru a-și perfecționa cunoștințele despre o industrie provocatoare și pentru a explora noi căi de cercetare. De asemenea, oferim un bun venit tuturor cercetătorilor, dacă există - putem fi contactați pentru întrebări sau sugestii legate de cercetarea DDoS sau grupul de cercetare SMART la
Sursa: www.habr.com